• pkliteÖ®dll
  • ±ê Ì⣺Öض¨Î»±íÖеÄżÊý¹æÔò£¬¾­ÀúpkliteÖ®dll
  • ×÷ Õߣºjingulong
  • ʱ ¼ä£º004-11-20,14:56
  • Á´ ½Ó£ºhttp://bbs.pediy.com

Ô­ÎÄÁ´½Ó£ºhttp://bbs.pediy.com/showthread.php?s=&threadid=7230

ÔÚ³ÌÐòÈë¿Ú´¦¿´µ½ÈçÏ´úÂ룺
01052000 > 68 80200310      PUSH 10032080
01052005   68 40CA0310      PUSH 1003CA40
0105200A   B8 00000010      MOV EAX,10000000
0105200F   2B4424 0C        SUB EAX,DWORD PTR SS:[ESP+C]
01052013   50               PUSH EAX
01052014   E8 27AA0000      CALL dll.0105CA40
01052019  ^E9 92F2FCFF      JMP dll.010212B0    ;×¢ÒâÕâ¸öÌø

¹âÌõ·ÅÔÚ×îºóÒ»ÐÐÉϻسµ£¬¿´µ½ÄÇÀﻹȫÊÇ00,ÍƲâ¿ÉÄÜÊÇÔ­´úÂëÈë¿Ú£¬ÓÚÊÇÔÚ10212B0´¦ÉèдÈë¶Ïµã£¬f9¶ÏÔÚÕâÀ

0105C6EC   8808             MOV BYTE PTR DS:[EAX],CL
0105C6EE   8B46 20          MOV EAX,DWORD PTR DS:[ESI+20] 
0105C6F1   8B4E 1C          MOV ECX,DWORD PTR DS:[ESI+1C] 

È¡ÏûÄÚ´æд¶Ïµã£¬ÔÚÕâ¸öº¯ÊýµÄÍ˳öµãÉè¶ÏÔÙf9£¬Í£Ïºóctrl+gתµ½10212B0¿´µ½

010212B0   55               PUSH EBP    
010212B1   8BEC             MOV EBP,ESP
010212B3   51               PUSH ECX
010212B4   C745 FC 01000000 MOV DWORD PTR SS:[EBP-4],1
010212BB   837D 0C 00       CMP DWORD PTR SS:[EBP+C],0
010212BF   75 10            JNZ SHORT dll.010212D1
010212C1   833D E0D30210 00 CMP DWORD PTR DS:[1002D3E0],0    ;¿´ÕâÀï
010212C8   75 07            JNZ SHORT dll.010212D1
010212CA   33C0             XOR EAX,EAX
010212CC   E9 CC000000      JMP dll.0102139D
010212D1   837D 0C 01       CMP DWORD PTR SS:[EBP+C],1
010212D5   74 06            JE SHORT dll.010212DD
010212D7   837D 0C 02       CMP DWORD PTR SS:[EBP+C],2
010212DB   75 42            JNZ SHORT dll.0102131F
010212DD   833D 5CEF0210 00 CMP DWORD PTR DS:[1002EF5C],0
010212E4   74 15            JE SHORT dll.010212FB
010212E6   8B45 10          MOV EAX,DWORD PTR SS:[EBP+10]
010212E9   50               PUSH EAX
010212EA   8B4D 0C          MOV ECX,DWORD PTR SS:[EBP+C]
010212ED   51               PUSH ECX
010212EE   8B55 08          MOV EDX,DWORD PTR SS:[EBP+8]
010212F1   52               PUSH EDX
010212F2   FF15 5CEF0210    CALL DWORD PTR DS:[1002EF5C]    ;ÕâÀï


´Ó010212C1µÈ´¦¿ÉÒÔ¿´³öÕâÊÇ¡°Öض¨Î»¡±Ö®Ç°µÄ´úÂ룬¸Ï¿ìdump°É!(ÎÒÓÃLordPe)
ÏÂÃæ²éÕÒÖض¨Î»º¯Êý£º
ÔÚ 10212C3ÉèÓ²¼þдÈë¶Ïµã£¬Á½´Îf9ºóÀ´µ½£º

0105CBBB   291408           SUB DWORD PTR DS:[EAX+ECX],EDX    ;Öض¨Î»
0105CBBE   8B46 04          MOV EAX,DWORD PTR DS:[ESI+4]
0105CBC1   83C7 02          ADD EDI,2
0105CBC4   83E8 08          SUB EAX,8
0105CBC7   43               INC EBX

0105CBBBÐÐËùÔڵĺ¯Êý¾ÍÊÇpkliteµÄÖض¨Î»º¯ÊýÁË£¬ÈçÏ£º
0105CB60   8B4424 08        MOV EAX,DWORD PTR SS:[ESP+8]             
0105CB64   56               PUSH ESI                                 
0105CB65   8B7424 08        MOV ESI,DWORD PTR SS:[ESP+8]             
0105CB69   85C0             TEST EAX,EAX
0105CB6B   897424 08        MOV DWORD PTR SS:[ESP+8],ESI             
0105CB6F   76 7C            JBE SHORT dll.0105CBED
0105CB71   57               PUSH EDI              
0105CB72   55               PUSH EBP
0105CB73   8B6C24 20        MOV EBP,DWORD PTR SS:[ESP+20]
0105CB77   53               PUSH EBX
0105CB78   8B46 04          MOV EAX,DWORD PTR DS:[ESI+4]    ;ÕâÀïÈ¡block size
0105CB7B   33DB             XOR EBX,EBX
0105CB7D   83E8 08          SUB EAX,8
0105CB80   8D7E 08          LEA EDI,DWORD PTR DS:[ESI+8]    
0105CB83   99               CDQ
0105CB84   2BC2             SUB EAX,EDX
0105CB86   D1F8             SAR EAX,1
0105CB88   85C0             TEST EAX,EAX
0105CB8A   7E 45            JLE SHORT dll.0105CBD1
0105CB8C   66:8B0F          MOV CX,WORD PTR DS:[EDI]
0105CB8F   8B16             MOV EDX,DWORD PTR DS:[ESI]        ;ÕâÀïÈ¡section value
0105CB91   8BC1             MOV EAX,ECX                      
0105CB93   81E1 00F00000    AND ECX,0F000
0105CB99   25 FF0F0000      AND EAX,0FFF
0105CB9E   03C2             ADD EAX,EDX
0105CBA0   2BC5             SUB EAX,EBP
0105CBA2   66:81F9 0030     CMP CX,3000
0105CBA7   75 15            JNZ SHORT dll.0105CBBE
0105CBA9   3B4424 20        CMP EAX,DWORD PTR SS:[ESP+20]
0105CBAD   7D 0F            JGE SHORT dll.0105CBBE
0105CBAF   85C0             TEST EAX,EAX
0105CBB1   7C 0B            JL SHORT dll.0105CBBE
0105CBB3   8B4C24 1C        MOV ECX,DWORD PTR SS:[ESP+1C]   
0105CBB7   8B5424 28        MOV EDX,DWORD PTR SS:[ESP+28]
0105CBBB   291408           SUB DWORD PTR DS:[EAX+ECX],EDX    ;ÕâÀïÖض¨Î» 
0105CBBE   8B46 04          MOV EAX,DWORD PTR DS:[ESI+4]
0105CBC1   83C7 02          ADD EDI,2
0105CBC4   83E8 08          SUB EAX,8
0105CBC7   43               INC EBX
0105CBC8   99               CDQ
0105CBC9   2BC2             SUB EAX,EDX
0105CBCB   D1F8             SAR EAX,1
0105CBCD   3BD8             CMP EBX,EAX
0105CBCF  ^7C BB            JL SHORT dll.0105CB8C
0105CBD1   8B46 04          MOV EAX,DWORD PTR DS:[ESI+4]
0105CBD4   8B7424 14        MOV ESI,DWORD PTR SS:[ESP+14] 
0105CBD8   8B4C24 18        MOV ECX,DWORD PTR SS:[ESP+18]
0105CBDC   03F0             ADD ESI,EAX
0105CBDE   2BC8             SUB ECX,EAX
0105CBE0   897424 14        MOV DWORD PTR SS:[ESP+14],ESI
0105CBE4   894C24 18        MOV DWORD PTR SS:[ESP+18],ECX
0105CBE8  ^75 8E            JNZ SHORT dll.0105CB78
0105CBEA   5B               POP EBX
0105CBEB   5D               POP EBP 
0105CBEC   5F               POP EDI
0105CBED   B8 01000000      MOV EAX,1
0105CBF2   5E               POP ESI
0105CBF3   C3               RETN

ÈÝÒ׿´³ö esiÖ¸ÏòÖض¨Î»±í,ÔÚRegisters´°¿ÚÀïÑ¡ÖРESIºóÔÙÑ¡»÷Follow in dump£¬Êý¾Ý´°¿ÚÖп´µ½£º

01052094  00 10 00 00 52 01 00 00 51 30 56 30 5E 30 70 30  ...R..Q0V0^0p0
010520A4  75 30 7D 30 DD 30 E2 30 EA 30 20 31 3F 31 44 31  u0}0??? 1?1D1
010520B4  4B 31 7F 31 84 31 9E 31 AB 31 B1 31 BD 31 C3 31  K11??????
010520C4  CC 31 D2 31 D7 31 E4 31 FF 31 04 32 0E 32 28 32  ????ÿ122(2
010520D4  31 32 3F 32 48 32 51 32 57 32 C3 32 DF 32 F4 32  12?2H2Q2W2???
010520E4  7E 33 93 33 B5 33 BE 33 C7 33 E6 33 F5 33 21 34  ~3??????!4

ÏÔÈ»ÊÇÖض¨Î»±íÁË£¡Óеã¼òµ¥Å¶£¿
µ«Êǵ±ÎÒÃÇ°ÑÕâ¸ö±íÕ³Ìùµ½¸Õ²ÅdumpµÄÎļþÖÐÔÙ¶ÔËü×÷¼òµ¥Ð޸ģ¨oep,reloc£©£¬dll_loaderÈÔÈ»ÊÇ
¡°¼ÓÔØʧ°Ü¡±£¡
    ÖØÐÂÔÙÀ´Ò»´Î£¬Õâ´Î²»ÓÃдÈë¶Ïµã£¬Ö±½ÓÔÚÖض¨Î»º¯ÊýÈë¿Ú£¨0105CB60£©´¦Éè¶Ï£¬go!go!go!
ÖжϺóctrl+gתµ½010212B0£¬ÎÒÃǾª¿ÖµØ·¢ÏÖ£¬ÄÇÀïÈÔÈ»ÊÇ¡°Ò»±é¿Õ°×¡±£¬Ã»ÓдúÂ룬³ÌÐòÔÚÕâÀïÖض¨
λ£¡ÔÚ0105CBBB´¦Éè¶Ï£¬f9¶ÏϺ󿴳ö£¬ÕâÀïÊǶÔÔ­³ÌÐòÖÐÊý¾Ý¶ÎÖеÄÖ¸ÕëÖض¨Î»£¡¿´À´pklite¶ÔÓÚ
¸÷¶Î£¨segment£©µÄ´¦ÀíÊÇ·Ö²½½øÐеģ¬¾ÍÊÇ˵ÎÒÃÇÕâʱҪôdumpÊý¾Ý¶ÎµÄÄÚÈݱ£´æÆðÀ´ÒÔºó»Ö¸´£¬
Ҫô½ûÖ¹pkliteÕâʱÖض¨Î»£¬ÎÒÑ¡ÔñºóÕߣ¬¹â±êµãÖÐ0105CBEA£¬ctrl+*,f9,ÔÙ´ÎÖжÏÔÚ 0105CB60 ºó
dump³ÌÐò£¬Õâ´ÎÓ¦¸Ã²î²»¶àÁË£¿½á¹û»¹ÊÇÔâÓö¡°¼ÓÔØʧ°Ü¡±£¡Óе㱳ÔË£¬ÕâÖ»ÊÇÒ»¸öѹËõ¿Çѽ£¡
    ¾­¹ý¶ÔdumpeϵijÌÐò×Ðϸ¼ì²é£¬ÖÕÓÚ¿´µ½Ô­À´ÊÇÖض¨Î»±íµÄ¡°Å¼Êý¡±¹æÔòÔÚ×÷¹Ö£¡¾ßÌå˵£¬¾ÍÊÇ
Öض¨Î»±íÖÐÿһ½Ú(section)ÖÐÒªÖض¨Î»µÄÊý¾Ý¸öÊý¶¼Ó¦¸ÃÊÇżÊý£¬¶ø¾­pklite¡°°áÁ˼ҡ±µÄÖض¨Î»±íÒÑ
²»Âú×ãÕâ¸öÒªÇó¡£Ô­ÒòÕÒµ½¾ÍÕâÑù°ì£º Öظ´ÉϴβÙ×÷£¬dump֮ǰ£¬ÕÒ¸ö¡°¿Õ´¦¡±¼üÈëÈçÏ´úÂ룺

0105CC00   60               PUSHAD
0105CC01   BE 94200501      MOV ESI,dll.01052094
0105CC06   BF C0820301      MOV EDI,dll.01050000
0105CC0B   8B4E 04          MOV ECX,DWORD PTR DS:[ESI+4]
0105CC0E   8BD1             MOV EDX,ECX
0105CC10   C1E9 02          SHR ECX,2
0105CC13   C1E1 02          SHL ECX,2
0105CC16   2BD1             SUB EDX,ECX
0105CC18   8BC7             MOV EAX,EDI                              
0105CC1A   F3:A4            REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
0105CC1C   2950 04          SUB DWORD PTR DS:[EAX+4],EDX
0105CC1F   03F2             ADD ESI,EDX
0105CC21   81FE 90320501    CMP ESI,dll.01053290
0105CC27  ^72 E2            JB SHORT dll.0105CC0B
0105CC29   61               POPAD
0105CC2A  ^E9 31FFFFFF      JMP dll.0105CB60

alt+M£¬°ÑdllËùÔÚ¶ÎÉèΪread/write£¬ÔÙ°Ñ eip±äµ½0105CC0£¬ÔÚ0105CC29ÐÐÉÏf4£¬
ok£¬ÔÙ´Îdump£¬È»ºó°ÑÖض¨Î»±íµÄ rav¸Ä³É 30000£¬size¸ÄΪ 11F4¡£all done£¡

С½áһϣº
         1.pklite¶Ô¸÷ segment ·Ö²½´¦Àí
         2.Öض¨Î»±í×¢ÒâżÊý¹æÔò
½ö´Ë¶øÒÑ£¬ÊDz»ÊDZȽϼòµ¥£¡

to great123 again:
   ÇëÄã¶à×¢Òâ×ÔÉíÐÞΪ¡£Ö»ÒªÏ¸ÐÄ£¬Æäʵ²¢²»ÄÑ£¬´ó¼Ò¶Ôpklite²»Ì«ÉÏÐÄ£¬ÒòΪÿ¸öÈ˶¼ÓÐ×Ô¼ºµÄ»î£¬
ºÎ¿öËüµÄÈ´±È½Ï¡°¾É¡±ÁË¡£

  • ±ê Ì⣺´ð¸´
  • ×÷ ÕߣºheXer
  • ʱ ¼ä£º004-11-20,15:41
  • Á´ ½Ó£ºhttp://bbs.pediy.com

Microsoft Portable Executable and Common Object File Format Specification
Microsoft Corporation
Revision 6.0  - February 1999
ÓÐÕâÑù µÄÐðÊö: